Шифрование учетных данных в пределах одобренного криптографического устройства и практически полное исключение продавца из сферы применения стандарта PCI DSS

Межабонентское шифрование (Entrust point-to-point encryption) — это частный вариант шифрования на уровне приложения, когда шифрование применяется выборочно в рамках бизнес-приложения — в данном случае платежного терминала (POS). Если процесс межабонентского шифрования внедрен правильно, а учетные данные шифруются в одобренном надежном криптографическом устройстве (SCD), например в POS-терминале, и не расшифровываются в среде продавца, то продавец может быть практически полностью выведен за рамки применения стандарта PCI DSS. Необходимо обеспечить строгий контроль за защитой ключей расшифровки и доступом к ним; фактически, действующее руководство Совета по стандартам безопасности PCI требует использовать аппаратные модули безопасности (HSM) с соответствующей степенью защиты доступа к этим ключам. Банки-эквайеры и другие игроки в платежной цепочке уже начали продавать услуги с добавленной стоимостью, в которых P2PE используется для снижения расходов на соблюдение нормативных требований для своих продавцов. Любая система, способная расшифровывать учетные данные, попадает в сферу применения стандарта PCI DSS, поэтому возможность исключить продавцов путем защиты ключей в пределах HSM может обеспечить значительные преимущества для всех заинтересованных сторон.

    Проблемы

    Актуальная проблема

    • Организации, которые не защищают учетные данные, не соответствуют требованиям Стандарта безопасности данных индустрии платежных карт (PCI DSS) и рискуют понести убытки вследствие штрафов и ущерба для бизнеса.
    • Злоумышленники могут похищать учетные данные клиентов обычной организации разными способами, поскольку данные могут поступать преднамеренно или непреднамеренно через многочисленные каналы (веб-сайты, колл-центры и службы поддержки, системы электронной почты и т. д.), и они могут быстро и широко распространяться по всей организации, что приводит к увеличению затрат на принятие контрмер и ведение отчетности о соблюдении нормативных требований.
    • Шифрование помогает снизить риски, но организации должны обеспечить надлежащее управление ключами. Ключи, которые существуют в чисто программных системах, уязвимы для атак и часто не соответствуют нормативным требованиям.
    • Хотя PCI DSS не предписывает использование межабонентского шифрования (P2PE), организации, которые не пользуются этим подходом, могут понести дополнительные расходы, связанные с соблюдением требований стандарта.

    Решения

    Межабонентское шифрование: Entrust nShield HSM

    Модули Entrust nShield® HSM не только помогают эффективно и действенно реализовать меры по обеспечению соответствия стандарту PCI DSS, но и играют важную роль в стратегии межабонентского шифрования (P2PE) и, следовательно, снижении затрат на обеспечение соответствия стандарту. Модули Entrust nShield HSM имеют независимую сертификацию в соответствии со стандартом FIPS 140-2 уровня 3, что является обязательным условием для использования P2PE. Модули Entrust nShield HSM создают доверенную среду, в которой можно безопасно генерировать элементы ключей, хранить их и управлять ими, а также безопасно выполнять операции расшифровки. Использование HSM таким образом аналогично тому, как HSM используются для защиты PIN-кодов пользователей при их прохождении через платежную сеть. В обоих случаях HSM защищают слабые места, которые встречаются в чисто программных системах, где криптографические ключи и процессы могут подвергаться атакам со сканированием памяти, мониторингу исполнения задач или действиям злоумышленников со статусом привилегированного пользователя.

    Независимо от того, как вы будете шифровать и расшифровывать учетные данные — с помощью собственного программного обеспечения или с помощью коммерческих приложений третьих сторон, модули Entrust nShield HSM легко развертываются и могут поддерживать инновационные технологии, такие как шифрование с сохранением формата (FPE), с минимальным влиянием на существующие бизнес-процессы. Эти устройства уже сертифицированы для прямой интеграции с продуктами наших отраслевых партнеров и ведущих производителей платежных терминалов (POS), что гарантирует быстрое развертывание и плавную интеграцию с существующими системами.

    Преимущества

    Возможности Entrust nShield HSM

    • Развертывание межабонентского шифрования (P2PE) в соответствии со стандартом PCI DSS для защиты учетных данных и снижения расходов, связанных с соблюдением требований стандарта.
    • Быстрое внедрение — модули Entrust nShield HSM предварительно аттестованы для интеграции с продуктами ведущих поставщиков продуктов в области шифрования.
    • Возможность выбирать уровень производительности и форм-фактор — вы развертываете только те продукты, которые вам нужны в настоящее время, и легко обновляете их по мере изменения ваших потребностей.
    • Воспользуйтесь преимуществами новейшей технологии шифрования с сохранением формата (FPE), чтобы свести к минимуму воздействие на существующие системы, которые в настоящее время работают с зашифрованными, а не обычными текстовыми учетными данными.